Seksten timer, livestreamet, i de sidste dage af august
Mellem den 31. august og den 3. september 2024 skilte to teenagere it-landskabet ad hos den organisation, der flytter London, og streamede en del af det live, mens de arbejdede. Den 16. juli idømte dommeren Mr Justice Turner ved Woolwich Crown Court Owen Flowers, 18 år, fra Walsall, og Thalha Jubair, 20 år, fra Bow i det østlige London hver fem år og seks måneders fængsel, en straf, der allerede rummer et nedslag på 15 procent for de tilståelser, de afgav i juni. Begge blev retsforfulgt for deres del i indbruddet hos Transport for London, den myndighed, der har ansvaret for undergrundsbanen, busserne og vejene, som millioner af mennesker bruger hver dag.
National Crime Agency beskrev ikke dette som en almindelig sag. Paul Foster, myndighedens vicedirektør, kaldte det den største retssag om cyberkriminalitet, der nogensinde er ført ved britiske domstole, og betegnede gruppen bag den som den mest betydelige cyberkriminelle trussel mod Storbritannien. De to hører til det løse netværk, som forskere kalder Scattered Spider, den samme klynge, der forbindes med angrebet på MGM Resorts i 2023 og med den bølge, der ramte britiske detailkæder i 2025. Jubair alene er anklaget for at have kompromitteret 120 netværk hos 47 amerikanske organisationer, en aktivitet, der er knyttet til mere end 115 millioner dollar i løsesumsbetalinger.
Det, der gør sagen en times opmærksomhed værd for enhver operatør, er ikke straffen. Det er regnestykket under den. TfL betalte ikke løsesum. Der var ingen afpresningsbetaling, ingen forhandling, ingen overførsel af kryptovaluta til en gruppe, der allerede havde bevist, at den kunne komme ind. Organisationen sagde nej, kom på benene igen og bogførte alligevel en regning på cirka 29 millioner pund, cirka 33 millioner euro. Det tal er den ærlige pris på dette angreb, og det er tallet, der hører hjemme i jeres egen planlægning, for det er, hvad der sker, når svaret på kravet er nej.
De brød ikke døren op. De ringede til helpdesken
Vejen ind havde ikke en eneste eksotisk bestanddel. Angriberne skaffede sig delvise loginoplysninger fra kriminelle fora, den slags fragmenterede materiale, der hober sig op gennem årevis af indbyrdes urelaterede databrud, og som koster meget lidt. Delvise loginoplysninger er ikke adgang. Det, der forvandlede dem til adgang, var næste skridt: phishing og social manipulation rettet mod mennesker, og en helpdesk, der kunne overtales til at nulstille multifaktorgodkendelse, efter at en af angriberne udgav sig for at være medarbejder. Den anden faktor gjorde det, den var designet til. Den blev ganske enkelt udleveret af den proces, der findes for at hjælpe medarbejdere, som er låst ude.
Det er den ubehagelige del, for den kontrol, der svigtede, står ikke på noget arkitekturdiagram. Organisationer køber MFA og noterer derefter risikoen som håndteret. Restrisikoen bor i genopretningsvejen, og genopretningsvejen er et menneske under tidspres, hvis opgave er at være hjælpsom, som måles på, hvor hurtigt køen bliver afviklet, og som ikke har nogen pålidelig måde at bevise på, at den bekymrede stemme i røret tilhører navnet på sagen. Ethvert hærdet identitetssystem i verden leveres med en blød omgåelsesvej, og omgåelsesvejen bemandes af en, der bliver målt på hastighed.
De tekniske undersøgelser viser en sag bygget af hverdagsting frem for af snedige. En Acer-bærbar tilhørende Flowers indeholdt logfiler over adgang til fjerninfrastruktur, videoer og skærmbilleder af selve angrebet, regneark med loginoplysninger på TfL-medarbejdere og kvitteringer for kryptovalutabetalinger, der passede med madudbringning bestilt til hans egen adresse. Den samme maskine bar spor med forbindelse til indbrud hos de amerikanske sundhedsudbydere SSM Health og Sutter Health. De mennesker, der kostede en transportmyndighed 29 millioner pund, bestilte aftensmad hjem til den lejlighed, de sad og gjorde det fra.
Otteogtyve tusind mennesker, én kø, ingen genvej
Her gik pengene rent faktisk hen. Cirka 28.000 medarbejdere i TfL måtte møde personligt op på et kontor, så deres adgangskoder kunne nulstilles af et andet menneske, der kunne se deres ansigt. Ikke et link i en mail. Ikke en selvbetjeningsportal. Ikke et opkald til helpdesken, for helpdesken var netop det, der var blevet misbrugt. Når selve identitetssystemet er under mistanke, arver enhver fjernkanal til at bevise, hvem man er, den samme mistanke, og det eneste instrument, der er tilbage, og som en angriber ikke kan forfalske i stor skala, er fysisk fremmøde. Det er omkostningsdriveren, og det er et logistikproblem med en cybersikkerhedsetiket på.
Lav regnestykket for jeres egen organisation, for det er nådesløst, og ingen laver det på forhånd. Tag antallet af medarbejdere. Divider med det antal mennesker, I realistisk kan identificere personligt i timen, på tværs af hver eneste lokation, I driver, på en dag, hvor jeres systemer er nede, og jeres medarbejdere ikke kan få instruktionerne på mail. Den kvotient er jeres genopretningstid, og den bliver ikke kortere af, at I har købt et bedre produkt. TfL's 148 berørte systemer var det tekniske omfang. Otteogtyve tusind identiteter var det operationelle omfang, og det andet tal er det, der satte regningen.
Halen ud mod kunderne varede langt længere end indbruddet. Selve angrebet strakte sig over tre dage i slutningen af august. Udstedelsen af rejsekort med foto vendte først tilbage den 4. december 2024, mere end tre måneder senere, sammen med forstyrrelser af kontologin, kundeportaler, tilknyttede tredjepartsapplikationer og billetautomater. Syv millioner brugere fik oplysninger eksponeret. Et indbrud målt i dage frembragte et servicenedbrud målt i måneder, og enhver bestyrelse, der ræsonnerer om nedetid ud fra angrebets længde, læser tidslinjen fra den forkerte ende.
Blot den anden domfældelse af sin art
Den juridiske detalje betyder mere, end den ser ud til. Flowers og Jubair blev dømt efter Section 3ZA i Computer Misuse Act fra 1990, den bestemmelse, der er forbeholdt uautoriserede handlinger, som forvolder eller skaber risiko for alvorlig skade af materiel art. Det er blot den anden domfældelse nogensinde efter den paragraf. I 35 år har loven overvejende leveret tiltaler for uautoriseret adgang og forringelse; leddet om alvorlig skade har været tæt på teoretisk. Det er nu påviseligt anvendeligt, og det blev anvendt på et angreb mod transport frem for mod et hospital eller et kraftværk.
Læs det som et signal om, hvor britiske anklagere mener grænsen går. Section 3ZA findes af hensyn til konsekvenser for den fysiske verden og for samfundslivet, og et offentligt transportnet kvalificerede sig. Enhver operatør, hvis svigt ville afbryde en bys almindelige funktion, bør gå ud fra, at samme ræsonnement gælder et angreb mod dem, og det trækker i en nyttig retning: staten behandler nu et indbrud i den slags infrastruktur som en forbrydelse med alvorlig skade, og den er villig til at bruge år på at bygge den sag, der beviser det.
Dommen sætter også et pejlemærke for afskrækkelse, som ejere bør læse ærligt. Fem et halvt år for 29 millioner pund i skader og syv millioner eksponerede registreringer er en reel straf, der falder næsten to år efter angrebet, mod to personer fra et netværk, der fortsatte med at operere hele vejen igennem. Retsforfølgelse er en konsekvens, ikke en kontrol. Den straffer dem, der gjorde det, længe efter at jeres genopretning er færdig og jeres penge er brugt, og intet i denne dom ville have afkortet TfL's kø med en eneste time.
Fire spørgsmål til jeres egen servicedesk i denne uge
Kan jeres helpdesk nulstille multifaktorgodkendelse på baggrund af et telefonopkald? Hvis ja, har I TfL's sårbarhed, uanset hvad jeres sikkerhedsopsætning koster. Løsningen er procedure frem for teknik: kræv en verifikationsvej, som den, der ringer, ikke kan levere ud fra stjålne fragmenter, for eksempel bekræftelse gennem en leder på en kendt og sikker kanal, en videokontrol holdt op mod personalemappen eller fysisk fremmøde for privilegerede konti. Det er langsommere, og medarbejderne vil brokke sig. Det brok er kontrollen, der virker.
Hvor lang tid tager det jer at genidentificere alle? Lav divisionen. Hvis svaret er længere end fjorten dage, så beslut nu, hvilke roller der genetableres først, for på dagen kommer I til at lave den triage i hast med en direktør hængende over jer. Skriv rækkefølgen ned, mens det er roligt og kedeligt, og opbevar den et sted, der overlever tabet af de systemer, den beskriver.
Hvad går i stykker for jeres kunder, og hvor længe efter at I er rene? TfL's interne genopretning og den offentlige genopretning var to forskellige begivenheder med tre måneder imellem. Kortlæg de processer, der rører ved kunder og afhænger af data, I ville skulle genopbygge eller genverificere, og prissæt dem adskilt fra jeres tekniske reetablering. Det er dér, skaden på omdømmet bor, og dér tallet holder op med at ligne en it-omkostning og begynder at ligne omsætning.
Læs videre: Ét commit er ikke et revisionsspor | Elleve signerede bootloadere omgår Secure Boot



